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Naar aanleiding van het Algemeen Overleg met de Vaste Kamercom¬ 
missie van BZK van 25 november 2015 en de ingediende moties tijdens 
het Verslag Algemeen Overleg (VAOMHandelingen II 2015/16, nr. 34) - en 
de ingediende moties tijdens het VAO van 8 december 2015 - informeer ik 
uw Kamer nader over het doel van de pilots met publieke en private 
middelen voor elektronische identificatie en authenticatie, alsmede over 
de samenhang tussen de diverse pilots. 

In bijlage I geef ik u de informatie waar u in het Algemeen Overleg van 
25 november om heeft gevraagd. Het moet duidelijk zijn op welke wijze 
alle aangekondigde pilots in het publieke domein samenhangen: wat zijn 
de eenduidige toelatingseisen, wat zijn de eenduidige evaluatiecriteria en 
welke pilots worden geëvalueerd door de begeleidingscommissie. In het 
verlengde daarvan is gebleken dat de ministeriële verantwoordelijkheid 
eenduidiger belegd dient te worden. Conform hetgeen ik u in het 
Algemeen Overleg meldde, heb ik de situatie in het Kabinet besproken. De 
uitkomsten daarvan treft u aan in deze brief, die ik u mede namens de 
Minister van Economische Zaken en de Staatssecretaris van Financiën 
aanbied. In overeenstemming met de wens van uw Kamer is in het 
Kabinet besloten om burger-authenticatie in het publieke domein 
(BSN-domein) via een eenduidiger verantwoordelijkheidstoedeling in te 
richten. 

Doelstelling 

In het regeerakkoord is de doelstelling opgenomen dat burgers en 
bedrijven in 2017 digitaal zaken met de overheid moeten kunnen doen. 
Daarom kiest het kabinet voor één regime voor identificatie en authenti¬ 
catie als een belangrijke randvoorwaarde van Digitaal 2017. In het kabinet 
is nogmaals benadrukt dat beschikbare en betrouwbare authenticatiemid- 
delen in het burgerdomein van groot en urgent maatschappelijk belang 
zijn. Belangrijkste redenen hiervoor zijn, dat burgers op een eenvoudige 
en betrouwbare wijze met één of meer hoogwaardige authenticatiemid- 
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delen moeten kunnen inloggen bij de overheid en tevens dienstaan¬ 
bieders in het publieke domein niet afhankelijk mogen zijn van een enkel 
inlogmiddel. Door deze zogenaamde «multimiddelen-benadering» wordt 
de afhankelijkheid van DigiD (thans 12 miljoen gebruikers) beperkt. 

Eenduidige verantwoordelijkheid 

Met u is het kabinet van mening dat de huidige situatie complex is en dat 
rollen en verantwoordelijkheden eenduidig moeten zijn. Dat is om 
voldoende vaart te maken met de introductie van meerdere authenticatie- 
middelen in het publieke domein. Voor het publieke domein ga ik de 
regelgeving onder één regime brengen: wettelijke eisen waaraan alle 
authenticatiemiddelen moeten voldoen voor gebruik in het publieke 
domein, alsook waaraan alle betrokken partijen moeten voldoen. Het 
voorgaande zal onderdeel uitmaken van de Wet generieke digitale 
infrastructuur (Wet GDI), die eerder is aangekondigd. 1 Vanzelfsprekend 
worden bij de totstandkoming van de eisen - zoals gebruikelijk is bij de 
voorbereiding van wetgeving - belanghebbende partijen, waaronder 
middelenleveranciers en dienstverleners, betrokken. 

In overleg met mijn collega van Economische Zaken en de Staatssecre¬ 
taris van Financiën is vastgesteld dat de verantwoordelijkheid voor dit 
publieke regime bij de Minister van BZK ligt. 

Betekenis voor de pilots en samenhang 

Het uniform eisenpakket voor de toelating tot de pilots ziet er in hoofd¬ 
lijnen als volgt uit: 

• Betrouwbaarheidsnormen voor het registratie- en uitgifteproces voor 
een authenticatiemiddel. Dit zijn normen die identiteitsfraude 
tegengaan, bijvoorbeeld doordat de initiële identiteit van de gebruiker 
via een face-to-face proces aan de hand van een geldig identiteitsdocu¬ 
ment wordt geverifieerd. Toegang kan alleen worden verleend met 
middelen op een hoog betrouwbaarheidsniveau. Voor betrouwbaar- 
heidsniveaus wordt de Europese elDAS verordening gehanteerd, 
welke leidend is voor de invulling hiervan. 2 

• Informatiebeveiligingsnormen, bijvoorbeeld verplichte versleuteling, 
eisen aan de opslag van persoonsgegevens en dataminimalisatie. Dit 
zijn tevens maatregelen die bijdragen aan het afschermen van 
persoonsgegevens en derhalve privacy beschermende maatregelen. 

• Privacy beschermende maatregelen: maatregelen over het verzamelen 
van het inloggedrag van een gebruiker en het geven van inzage recht. 
Voor de pilots dient een Privacy Impact Analyses (PIA) te zijn uitge¬ 
voerd, waarbij getoetst is aan feitelijke en technische nationale en 
Europese juridische vereisten betreffende privacy. 

• Technische eisen: de specificatie van de technische koppelvlakken om 
te kunnen inloggen in het publieke domein. 

De pilots vallen uiteen in drie groepen: (1) pilots met publieke middelen 
met regelgeving vanuit BZK, (2) pilots met private middelen in het 
publieke domein op basis van het afsprakenstelsel Idensys, en (3) pilots 
met bankmiddelen met DNB regelgeving. 


1 Laatstelijk in de Uitgangspuntenbrief WGDI dd 4 dec. 2015. 

2 De elDAS verordening kent drie betrouwbaarheidsniveaus: laag, substantieel en hoog, waarbij 
tijdens het vaststellen van de eisen die eraan gesteld zijn rekening gehouden is met de 
betrouwbaarheidsniveaus uit STORK en ISO 29115; zie UITVOERINGSVERORDENING (EU) 
2015/1502 VAN DE COMMISSIE van 8 september 2015. Klik hier voor de link. 
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Alle pilots hebben met betrekking tot de toelatingseisen een adequate 
invulling: 

• De pilots met private middelen (Idensys en banken) hebben gemeen 
dat ze gebruik maken van een publieke, reeds gereguleerde voorzie¬ 
ning, het BSN-koppelregister, waardoor authenticatiemiddelen in het 
publieke domein kunnen worden gebruikt. 

• Zowel de pilots met publieke middelen als met private middelen zijn 
voor wat het gebruik van BSN betreft wettelijk ingekaderd. 3 Kern van 
de pilots is dat wanneer partijen aantoonbaar aan de gestelde eisen 
voldoen, de betreffende middelen worden geaccepteerd in het 
publieke domein. 

Alle pilots worden door een commissie onder het voorzitterschap van dhr. 
P.W.A. Veld geëvalueerd en daarbij worden dezelfde evaluatiecriteria 
gehanteerd. 4 

Hoofdlijnen uniform toelatingsstelsel 

Er is in de structurele situatie wel een uniform toelatingsstelsel nodig voor 
het publieke domein waar een eenduidig certificeringsstelsel en 
toezichtsarrangement onderdeel van uitmaken. In bijlage II treft u een 
uitwerking op hoofdlijnen aan. Het betekent dat de toelatingseisen voor 
het eenduidige publieke regime bij elkaar gebracht worden, resulterend in 
een vastlegging in regelgeving voor het publieke domein (wettelijk 
regime, de toekomstige wet GDI) onder mijn verantwoordelijkheid. 

Het certificeringsstelsel bevat criteria onder andere op het gebied van 
governance, veiligheid en privacy voor alle authenticatiemiddelen en alle 
betrokken partijen. Ik zal ervoor zorgen dat dit verder ontwikkeld en 
vastgesteld wordt. 

De werkzaamheden zullen parallel aan de uitvoering van de pilots 
opgepakt worden. Als na de pilots een beslissing tot verdere opschaling 
wordt genomen, wordt vervolgens door BZK periodiek getoetst of de 
authenticatiemiddelen voldoen aan het toelatingsstelsel. 

BIT 

Tijdens het Algemeen Overleg van 25 november 2015 en in een motie is 
gevraagd om een BIT toets te laten uitvoeren. Ik zal mijn collega van 
Wonen en Rijksdienst verzoeken deze toets aan het begin van de pilots te 
laten uitvoeren. Het Instellingsbesluit BIT 5 bepaalt de reikwijdte van de 
toets. 

Planning 

Medio 2016 zullen de uitkomsten van de pilots, van de BIT toets en van de 
evaluatie door Commissie Veld door het kabinet worden besproken. 
Tevens zal dan één set van toelatingseisen voor het publieke domein van 
toepassing zijn. 

De ervaringen en uitkomsten van de pilots zijn essentieel voor de verdere 
ontwikkeling van de geteste authenticatiemiddelen, de invulling van de 
toelatingseisen, en de ontwikkeling van een overkoepelend toelatings¬ 
stelsel. De planning is er op gericht dat, uiteraard rekening houdend met 


3 Vide art. X Wet Elektronisch berichtenverkeer belastingdienst (Fi-BZK, Stb. 2015, 389), de 
daarop gebaseerde uitvoeringsregelgeving inzake de generieke digitale infrastructuur (GDI) en 
de Regeling pilot eNIk (nng). 

4 Zie brief van 19 november 2015 over pilotvoorwaarden en pilotcriteria elD Stelsel. 

5 Instellingsbesluit tijdelijk Bureau ICT-toetsing: Besluit van de Minister voor Wonen en Rijks¬ 
dienst van 10 juli 2015, nr. 0000373449, tot instelling van het tijdelijk Bureau ICT-toetsing. 
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de uitkomsten van de pilots, in 2017 alle authenticatiemiddelen en de 
achterliggende partijen ten behoeve van gebruik in het publieke domein 
structureel binnen een overkoepelend toelatingsstelsel aan dezelfde 
- wettelijke - eisen voldoen op het gebied van informatieveiligheid, 
betrouwbaarheid en privacybescherming. 

Authenticatie ten behoeve van toegang tot het publieke domein zal 
worden gereguleerd bij de verdere voorbereiding van de Wet GDI. 

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, 

R.H.A. Plasterk 
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